[eside-ghost] Mini manual de iptables ?

zgor zgor en int80h.net
Jue Mar 31 09:58:50 CEST 2005 

Cymo wrote:

>Hola !
>
>¿ Alguien me puede indicar como añadir reglas "simples" para iptables ?
>En concreto: que no se acepten conexiones desde determinadas ips
>(determinados servicios estén disponibles SOLO desde la red local).
>
>Tengo una red local, y en mi gnu/linux una sola tarjeta ethernet con
>dos aliases:
>
>eth0 (euskaltel::ip) --> internet
>eth0:0 (192.168.2.101) --> red local
>
>  
>
Lo que pides lo puedes hacer facilmente con:
iptables -A INPUT -s IP.EN.CUES.TION               -j DROP
iptables -A INPUT -s IP.EN.OTRA.CUESTION     -j DROP

Pero deberias plantearte la frase al reves: denegar para todo el mundo 
salvo para tal y cual. Asi que te bastaria con poner la politica de 
input a drop: iptables -P INPUT DROP y luego ir aceptando las que si 
quieres: iptables -A INPUT -s tal -j ACCEPT

Como howto cualquiera de los que salen en las paginas de netfilter 
deberia ir fino. Al principio no tendrás muchos problemas, en esos 
ejemplos solo hablamos de IPS no de protocolos/puertos pero es 
sencillito, lo único si das servicios publicos con protocolos un poco 
"raros" en lo que a conexiones se refiere (ftp, cliente irc(dcc) y cosas 
asi) deberás andar al loro del connection tracking y tal.  Pero trankas 
que netfilter es una autentica maravilla, pocas cosas no se pueden hacer :D
En cualquier caso, tb puedes tirar de FWBuilder

>De momento he "solventado" mis problemas de seguridad, matando todos
>los procesos que no me interesaban (sshd, apache, no se qué,...)
>
>
>
><ESTO_SOLO_PARA_HISTERICOS>
>Me ha dao por mirar
>cymo en Thunder:/$ uptime
> 01:34:58 up 14 days,  2:00,  2 users,  load average: 0.85, 1.12, 1.06
>Asi que he decidido mirar en /var/log/auth.log y he visto:
>
>  
>
Buff XDDD como te de por mirar todo todo no duermes jamas XDDDDDDDDD
Nada, trankas, eso es "normal", Internet es una jungla, entxufas un 
Windowze XP sin parchear nada y en menos de 10 minutos se infecta con 
blaster/etc XDDDD Auntentiko junglismo

Puedes ponert snort con acid y cosas asi, iptables tb con ulog/mysql si 
quieres tener un poco mas controlado o probar el ids de split :D


suerte !

Más información sobre la lista de distribución eside-ghost